Cómo saber si es seguro poner nuestra contraseña en una web

Publicado el

phishing

Muchas veces los criminales hacen copias de sitios web conocidos para engañar a los usuarios. La víctima pone su contraseña pensando que está en la web correcta cuando realmente está en una web falsa creada para robar sus datos.

Este tipo de ataque se conoce como phishing, y los pasos para engañar a los usuarios son los siguientes:

– El atacante crea una copia de una web como amazon, correos, un banco, etc.
– El atacante envía un enlace de la web falsa a las víctimas (ya sea por email o por SMS), con algún mensaje del tipo «su paquete está disponible, click aquí para más información» o «su cuenta bancaria será bloqueada, click aquí para más datos»… en fin, cualquier mensaje que empuje al usuario a hacer click en el enlace.
– La víctima hace click, accede a una web muy parecida a la que esperaba, y pone sus datos personales.
– El atacante obtiene los datos del usuario y puede usarlos para identificarse en la web correcta o realizar amenazas de cualquier tipo.

Ya hablé de phishing con mucho detalle en el pasado, y hoy os comentaré una extensión que ayuda a no caer en la trampa.

Cómo protegerse del phishing

Hay un plugin de Chrome, gratuito, creado por Safe to Open, que ayuda a protegerse, ya que avisa si la web en la que estamos poniendo nuestros datos es o no la legímita.

Disponible en la Chrome Store, avisa con un banner y colores rojos cuando estamos a punto de entrar en una web falsa, tal y como muestra este vídeo:

Safe to Open mantiene miles de sitios registrados para encontrar coincidencias, y sólo analiza los sitios web que piden información sensible, como contraseñas. Ignora sitios conocidos, como redes sociales, y se enfoca en dominios extraños.

Cuando detecta una web sospechosa, SafeToOpen la recopila, así como nuestros datos (dirección IP pública, versión del navegador, url sospechoso y número de palabras que aparecen en el sitio web detectado). Es después de este análisis cuando la web sospechosa se enmascara dejando solo visible el nombre del dominio (no el subdominio), alertando así al usuario de que está a punto de entrar en una «zona no conocida».

Tienen la opción de ofrecer una licencia para administradores que quieran tener el plugin instalado en su empresa o institución, y así controlar los posibles peligros a los que se enfrentan los usuarios.

Comparte en: